Paras Jain

**Nome do Software Vulnerável e Versões Afetadas** Apache Tika versões 1.13 até 3.2.1 Apache Tika tika-core versões 1.13 até 3.2.1 Apache Tika tika-pdf-module versões 2.0.0 até 3.2.1 Apache Tika tika-parsers versões 1.13 até 1.28.5 **Descrição** Existe uma vulnerabilidade crítica de Entidade Externa XML (XXE) no Apache Tika, especificamente dentro dos componentes `tika-parser-pdf-module`, `tika-core` e `tika-parsers`. Esta falha permite que um atacante injete código XML malicioso por meio de um arquivo XFA manipulado incorporado em um documento PDF. A exploração bem-sucedida poderia permitir que um atacante lesse dados sensíveis ou iniciasse requisições não autorizadas para recursos internos ou servidores externos. A causa raiz da vulnerabilidade está no componente `PDFParser`, inicialmente relatado no `tika-parser-pdf-module`, mas finalmente corrigido no `tika-core`. A vulnerabilidade afeta versões 1.x onde o `PDFParser` está localizado no módulo `org.apache.tika:tika-parsers`. **Recomendações** Atualize para a versão 3.2.2 ou posterior do Apache Tika. Atualize o `tika-core` para a versão 3.2.2 ou posterior. Atualize o `tika-pdf-module` para a versão 3.2.2 ou posterior. Atualize o `tika-parsers` para a versão 1.28.5 ou posterior.